GitHub lidió hace poco con lo que hasta la fecha ha sido el ataque DDoS más grande de la historia que se haya reportado, y lo más notable: fueron capaces de resolver la situación en 10 minutos.
GitHub que está pasando…
Entre las 17:21 y las 17:30 UTC de este 28 de febrero de 2018, GitHub fue capaz de identificar y mitigar un ataque DDoS que impactó a la plataforma con una cantidad monumental de tráfico: 1.35 Tbps (terabits por segundo) enviados a través de 126.9 millones de paquetes por segundo.
El ataque fue incluso más grande que el sufrido por la empresa Dyn en octubre de 2016 (1.2 Tbps) y que afectó a grandes sitios como Twitter, Reddit, Spotify, Paypal y más. Aquel incidente fue causado por una botnet gigante que se aprovecha de dispositivos IoT inseguros y conectados.
Un ataque DDoS masivo amplificado
El ataque DDoS masivo que sufrió GitHub no requirió de ninguna botnet sino que se aprovechó de unos 100.000 servidores mencached, es decir, que almacenan en caché todo tipo de datos para optimizar la velocidad de redes y sitios web.
Los servidores usados pertenecían a diferentes negocios e instituciones que por no estar protegidos por sistemas de autenticación aceptan peticiones de cualquiera, el ataque DDoS se aprovechó de ellos para amplificar la cantidad de tráfico que envió a GitHub.
La botnet
A diferencia de un ataque que usa una botnet, este tipo de ataques amplificados no requieren infectar ningún dispositivo con malware, solo encontrar los servidores, imitar la IP de la víctima y usar los sistemas memcached para enviarle hasta 50 veces la cantidad de datos solicitados a la víctima.
Sin embargo, a pesar de todo lo sucedido GitHub estaba preparado, ya que en este utilizan los servicios de Akamai Prolexic para mitigar ataques DDoS, ellos tomaron el control de inmediato y en tan solo 8 minutos los atacantes se rindieron y terminaron el ataque.
El vicepresidente de Akamin le dijo a WIRED que “modelan su capacidad basados en cinco veces el ataque más grande que Internet haya visto jamás”. Sin embargo, aunque estaban seguros de que podrían manejar 1.3 Tbps, nunca habían recibido un terabit y medio de un solo golpe. “Una cosa es tener confianza, y otra es ver que las cosas salgan como esperabas”.
Si bien GitHub estaba preparado para esto, los problemas de fondo siguen siendo los servidores memcached expuestos y como se están usando cada vez más para potenciar ataques DDoS. Ahora la comunidad detrás de las infraestructuras es la que debe atacar el problema y hacer que los dueños de estos servidores expuestos los quiten de Internet, los escondan detrás de cortafuegos o los muden a redes internas.